Résumé

En février 2026, Apple a corrigé en urgence une faille de sécurité critique baptisée CVE-2026-20700. Il s'agit de la première vulnérabilité « zero-day » activement exploitée de l'année sur les appareils Apple.

La faille se situe dans dyld (Dynamic Link Editor), un composant système fondamental : c'est lui qui charge les bibliothèques et lance le code de chaque application sur iOS, iPadOS, macOS, watchOS, tvOS et visionOS. Autrement dit, toutes les applications passent par dyld pour s'exécuter.

Techniquement, il s'agit d'une corruption mémoire causée par une mauvaise gestion d'état lors du chargement des bibliothèques. Un attaquant disposant déjà d'une capacité d'écriture en mémoire (souvent obtenue via une autre faille) pouvait l'exploiter pour exécuter du code arbitraire sur l'appareil. Comme dyld agit à un niveau très bas du système, cela ouvrait la porte à l'installation de logiciels espions ou de programmes malveillants avec des privilèges élevés.

Apple a indiqué que la faille avait « peut-être été exploitée dans une attaque extrêmement sophistiquée visant des individus ciblés » sur des versions d'iOS antérieures à iOS 26 — un vocabulaire qu'Apple réserve aux attaques de type espionnage (États ou éditeurs de logiciels espions commerciaux). Elle a d'ailleurs été découverte par le Google Threat Analysis Group, l'équipe qui traque ce type de menaces, et était chaînée avec deux failles WebKit (CVE-2025-14174 et CVE-2025-43529) corrigées en décembre 2025.

Le problème a été corrigé dans iOS 26.3, iPadOS 26.3, macOS Tahoe 26.3, watchOS 26.3, tvOS 26.3 et visionOS 26.3, publiées le 11 février 2026. La CISA américaine a ajouté la faille à son catalogue des vulnérabilités activement exploitées (KEV). La seule protection efficace : mettre à jour ses appareils sans attendre.

Mon analyse personnelle :

Cette faille m'a marquée parce qu'elle ne se trouve ni dans une application ni dans un site, mais dans le composant qui fait tourner toutes les applications. Cela montre qu'une seule faille dans une brique système de bas niveau peut compromettre l'appareil entier. Dans ma préparation au métier de développeuse, cette veille m'a appris :

• l'importance des mises à jour de sécurité : ne pas les repousser, car les attaquants ciblent justement les appareils non à jour ;

• que les attaques réelles fonctionnent souvent par chaînage de plusieurs failles (ici dyld + WebKit), et rarement avec une seule ;

• l'utilité de suivre les bulletins de sécurité officiels (CVE, page de sécurité Apple) pour les systèmes sur lesquels je développe.

Plus largement, cela me sensibilise à l'idée de penser à la sécurité tout au long du développement d'une application, et pas seulement à la fin.

Mots clés

CVE-2026-20700

dyld

iOS

macOS

zero-day

corruption mémoire

exécution de code arbitraire

Apple

Google TAG

CISA KEV

Sources Identifiant : CVE-2026-20700 — CWE-119 (corruption mémoire) — CVSS 7.8 (élevée), aggravée par une exploitation active.

Page de sécurité officielle Apple : https://support.apple.com/en-us/100100

Fiche NVD : https://nvd.nist.gov/vuln/detail/CVE-2026-20700

Découverte par : Google Threat Analysis Group (TAG)

Date de publication : 11 février 2026

Gravité : élevée à critique (zero-day activement exploité, ajouté au catalogue CISA KEV)

Sources

© 2025. All rights reserved.